Encontrei este post no Ruby on Rails Security Blog.
O autor aqui cita três métodos que usamos constatemente e como eles representam uma falha de segurança no Rails.
Veja estes dois exemplos abaixo:
O código acima vai retornar: “sdfasdf<script>alert(’hello’)</script>”
E este código retorna “<a xhref=’http://www.attacker.com/’>Test</a>”
Segundo o autor do post, este problema já foi reportado mas os métodos não devem ser alterados até a versão 2.0 do Rails. Por isto, cuidado ao usá-los crianças…
